Club deportivo sancionado por añadir a un cliente a grupo de Whatsapp sin su consentimiento

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 4000 Euros a un Club deportivo, al haber este incluido en un grupo de Whatsapp a un antiguo cliente, sin contar con consentimiento previo u autorización por parte de dicho cliente.

El afectado reclama ante la AEPD indicando que su número de teléfono, siendo este un dato personal, ha sido incluido en un grupo de Whatsapp sin habérsele solicitado consentimiento previo. Para mayor gravedad, el cliente no es usuario o mantiene relación alguna con el centro deportivo desde hace más de 10 años.

Una vez iniciado el procedimiento la Agencia dio traslado de dicha reclamación al reclamado, de cara a que se procediese al análisis de la misma y se informase a la AEPD de las acciones llevadas a cabo para adecuarse a la normativa de Protección de datos, no recibiendo respuesta  por parte del reclamado.

LA AEPD ACTUA ANTE LA VULNERACIÓN DEL RGPD

Por todo ello, la AEPD inició procedimiento sancionador, por la presunta infracción de los arts. 32, 5.1.e) y 6 del RGPD.

El reclamado vulnera el art, 6 del Reglamento General de Protección de Datos al haber tratado datos personales del reclamante sin su previo consentimiento

Por otro lado, y como indicábamos previamente, contraviniendo el art. 5.1 e) del RGPD, el centro deportivo conserva los datos personales del cliente pese a que el reclamante no es su cliente desde hace más de diez años. El RGPD establece que los datos no podrán conservarse más que el tiempo necesario para la finalidad para la que fueron tomados.

Para finalizar, al haber puesto a disposición de terceros el número de teléfono móvil del reclamante, habiéndole incluido en un grupo de Whatsapp, se vulnera su confidencialidad. Considerando la agencia que las medidas de seguridad del reclamado no se adecuan a la Ley, al contravenir los apartados b y d del art. 32 del Reglamento.

4000 EUROS DE SANCIÓN

Si bien la AEPD considera que no hay intencionalidad en la vulneración del RGPD, si valora dicha vulneración como significativa, al conservar el reclamado los datos personales del reclamante pese a no ser cliente desde hace más de diez años.

Por todo ello la AEPD impone al club deportivo las siguientes cuatro sanciones:

  • Por la infracción del art. 6 del RGPD, una multa de 1.000 euros;
  • Por la infracción del art. 5.1 e) del RGPD, una multa de 1.000 euros;
  • Por la infracción del art. 32.1 e) del RGPD, una multa de 1.000 euros;
  • Por la infracción del art. 32.1 d) del RGPD, una multa de 1.000 euros.


Fin de la Moratoria de la Ley de trabajo a distancia, «Ley del teletrabajo»


Numerosos medios de comunicación se están haciendo eco del fin de la moratoria contemplada en la Ley 10/2021, de 9 de julio, de trabajo a distancia, la llamada “Ley del teletrabajo” para que las empresas se adapten y evitar sanciones desde este momento.

En efecto, la ley, que entró en vigor el día siguiente al de su publicación en el BOE (esto es, el 10 de julio), y a la que ya hicimos referencia en nuestro artículo del mes de julio (https://equalprotecciondedatos.com/ley-de-trabajo-a-distancia-y-proteccion-de-datos/) daba un plazo de tres meses para llevar a cabo dicha adaptación, que finaliza en octubre. Además, en lo que respecta al régimen sancionador entraba en vigor el día 1 de octubre, tal y como establece la Disposición final decimocuarta.

¿ES LO MISMO TELETRABAJO Y TRABAJO A DISTANCIA?

Antes de hacer referencia a lo que la norma obliga a las empresas, y en especial a las referencias a la normativa de protección de datos, conviene detenerse un momento en las definiciones de “trabajo a distancia”, “teletrabajo” y “trabajo presencial”, ya que a menudo los conceptos se confunden

El artículo 2 de la Ley establece al respecto:

a) «Trabajo a distancia»: forma de organización del trabajo o de realización de la actividad laboral conforme a la cual esta se presta en el domicilio de la persona trabajadora o en el lugar elegido por esta, durante toda su jornada o parte de ella, con carácter regular.

b) «Teletrabajo»: aquel trabajo a distancia que se lleva a cabo mediante el uso exclusivo o prevalente de medios y sistemas informáticos, telemáticos y de telecomunicación.

c) «Trabajo presencial»: aquel trabajo que se presta en el centro de trabajo o en el lugar determinado por la empresa.

Es decir, el llamado “teletrabajo” no es, de acuerdo a la ley, si no una forma de trabajo a distancia en la que se emplean, de forma exclusiva o al menos mayoritaria, medios y herramientas informáticas.

Ahora bien, ¿es “trabajo a distancia” el desempeño puntual de las funciones laborales? La ley nos aclara en su artículo 1º que se entenderá por trabajo a distancia aquel  que se preste, en un periodo de referencia de tres meses, un mínimo del treinta por ciento de la jornada, o el porcentaje proporcional equivalente en función de la duración del contrato de trabajo.

Si no se llega a este porcentaje no se podrá considerar trabajo a distancia, como tampoco se aplica por el momento a empresas cuyas plantillas comenzaron a trabajar a distancia como consecuencia de las medidas de contención sanitaria derivadas de la pandemia, a las que les seguirá siendo de aplicación la normativa laboral ordinaria, teniendo en cuenta que si una vez levantadas las restricciones por la misma pretenden continuar en esta modalidad, sí deberán acogerse y adaptarse a la Ley del teletrabajo.

LEY DEL TELETRABAJO Y PROTECCION DE DATOS

Pues bien, dicho lo anterior a efectos de aclarar dudas que aún hoy son motivo de consulta, interesa poner de relieve que, dentro de las obligaciones que la Ley del teletrabajo impone a las empresas, la más importante, y que más quebraderos de cabeza parece estar dando, es la obligación de que la situación laboral de trabajo a distancia o teletrabajo quede plasmada en un acuerdo por escrito que puede ser anexado al contrato laboral de la persona trabajadora. Y que, además, cuestión importante, debe ser negociado individuamente con cada trabajador y posteriormente ser remitido al SEPE.

Este acuerdo por escrito, que toda empresa debe tener a disposición en un plazo de tres meses desde que nace la obligación (bien aquellas empresas que ya tenían personal en teletrabajo, siempre que este no fuera a causa de la pandemia), o bien quienes comiencen una nueva relación laboral en esas condiciones (algo cada vez más habitual),tiene un contenido mínimo que recoge el artículo 7 de la Ley. 

Cuestiones como la duración, el lugar de trabajo elegido por el empleado o medios de control empresarial son fundamentales y deben aparecer en dicho acuerdo de manera preceptiva. Y que, además, cuestión importante, debe ser negociado individuamente con cada trabajador y posteriormente ser remitido al SEPE.

En lo que respecta a la NORMATIVA DE PROTECCIÓN DE DATOS hay que destacar dos importantes cuestiones:

1.- Facilitar un procedimiento en materia de protección de datos a las personas que vayan a trabajar a distancia y que sea específicamente aplicable a esta modalidad de trabajo. Cuestión importante es que la ley contempla que, si existe representación legal de los trabajadores, debe contarse con su participación en la elaboración de estas instrucciones. Este procedimiento debe constar en el citado acuerdo escrito entre trabajador y empresa.

2.- Establecer y distribuir una política de desconexión digital, que ya la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) establecía, pero que en la ley del Teletrabajo cobra más fuerza e importancia.

A los dos puntos anteriores hay que sumarle que también es preceptivo, y debe incluirse en ese acuerdo escrito entre las partes, unas instrucciones dictadas por la empresa sobre seguridad de la información, específicamente aplicables en el trabajo a distancia. En este caso no se exige contar y negociar con la representación legal de los trabajadores, si existe, pero sí se les debe informar previamente a su aprobación.  

¿QUÉ OCURRE CON EL CONTROL HORARIO?

Por último, la Ley del Teletrabajo habla de la necesidad y obligatoriedad de la flexibilidad horaria. Siendo cierto que se indica como obligatoria esta flexibilidad para el trabajador, también lo es que, como todo derecho, este no es absoluto, ya que la empresa puede fijar tiempos de disponibilidad.

Para ello se recomienda el uso de una aplicación que pueda ser utilizada con este fin, no siendo operativo en estas situaciones de trabajo a distancia la firma en una hoja de control, como en numerosas ocasiones se hace en trabajo presencial.


No es necesario que la empresa informe al trabajador sobre el uso que le da a la videovigilancia

Si el trabajador tiene conocimiento de la existencia de cámaras de videovigilancia, con las que pueda estar siendo grabado en el desempeño de sus funciones en el puesto de trabajo, la empresa no está obligada a informar sobre el uso que se da a dicho sistema de videovigilancia, pudiendo ser las imágenes utilizadas en un procedimiento judicial.

El Tribunal Supremo, en sentencia de 21 de Julio de 2021, indica que el artículo 88.1 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) de 2018, establece que en el supuesto de que se haya captado mediante sistema de videovigilancia la comisión flagrante de un acto ilícito por parte de los trabajadores, se entenderá cumplido el deber de informar siempre que el trabajador sea consciente de la existencia de dicho sistema.

El ponente, el magistrado García-Perrote Escartín, indica que la sentencia del Tribunal Constitucional 39/2016, 3 de marzo de 2016, así lo reconoce.

De cara a que al trabajador le conste la existencia de un sistema de videovigilancia, y en cumplimiento de la Ley en materia de protección de datos, la empresa deberá colocar un dispositivo informativo indicando la existencia de un sistema de videovigilancia, en lugar suficientemente visible, identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos.

Adicionalmente, el magistrado, considera que en determinadas circunstancias, tal y como establece la sentencia del Tribunal Europeo de Derechos Humanos (TEDH ), en la sentencia de su Gran Sala de 17 octubre 2019 (López Ribalda II), no es preciso que la empresa indique al trabajador la existencia y localización de determinadas cámaras, sin que ello conlleve la nulidad como prueba de la grabación.

Cuestión distinta es que, para cumplir con la normativa de protección de datos y en concreto con el deber de informar, sí se deberá facilitar a los trabajadores la finalidad o finalidades concretas de las grabaciones de cara a evitar posibles consecuencias en este ámbito.

Whatsapp sancionada por falta de transparencia

La Comisión de Protección de Datos (CPD) de Irlanda, ha sancionado a Whatsapp con una multa de 225 millones de Euros por falta de transparencia.

Una opacidad mostrada tanto a la hora de informar sobre el tratamiento que da a los datos personales de usuarios y no usuarios, como a la hora de especificar que datos se transfieren entre Whatsapp y otras redes sociales del grupo como Facebook e Instagram.

Esta multa es la segunda de mayor cuantía impuesta por el organismo regulador en aplicación del Reglamento General de Protección de Datos (RGPD) , solo habiendo sido superada por la multa impuesta a Amazon por el CNPD, autoridad de protección de datos de Luxemburgo, por valor de 746 millones de Euros.

Whatsapp no solo ha sido multado, si no que se le ha impuesto una orden de cara a que corrija su normativa y procesos adaptándolos al RGPD.

UN LARGO PROCESO

La sanción es resultado de una investigación iniciada por la autoridad irlandesa en 2018, de cara a averiguar si Whatsapp cumplía con el RGPD, habiendo propuesto en un primer momento una sanción de 30-50 millones de Euros.

Dicha propuesta, al afectar la vulneración del Reglamento a toda Europa, fue compartida con las distintas autoridades de control de diversos países europeos, mostrando estos su desacuerdo con la autoridad irlandesa.

La principal disputa versaba sobre la gravedad y alcance del no ajuste al Reglamento por parte de Whatsapp, así como sobre la cuantía de la sanción.

Al no existir acuerdo entre los distintos organismos reguladores se hubo de acudir al Comité Europeo de Protección de Datos, tomando este la decisión de elevar la sanción a 225 millones de Euros.

WHATSAPP SE DEFIENDE

Whatsapp, en un comunicado, ha indicado que la sanción se basa en el nivel de detalle de políticas vigentes hace tres años, habiendo sido su política de privacidad actualizada recientemente.

La compañía asegura que trabaja para garantizar la máxima transparencia en la información que facilita a sus usuarios, manifestando no estar de acuerdo con la sanción, al considerarla desproporcionada.

A lo largo de este año, tanto Facebook como Whatsapp han sido objeto de diversas polémicas en relación a la protección de datos, todo ello a causa del anuncio por parte de la aplicación de mensajería de cambios en su política de privacidad y condiciones de uso.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Guía para el Cumplimiento del Deber de Informar

El Reglamento General de Protección de Datos (en adelante, RGPD), publicado en mayo de 2016 y aplicable a partir del 25 de mayo de 2018, es una norma de aplicación directa en toda la Unión Europea, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El RGPD sustituirá, a partir de mayo de 2018, a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD) y al Reglamento RD-1720/2007, que la desarrolla, e introduce una serie de cambios y novedades a los cuales es necesario adaptar los actuales tratamientos, con anterioridad a la fecha de su plena aplicación.

El objeto de esta Guía, de forma específica, es orientar acerca de las mejores prácticas para dar cumplimiento a la obligación de informar a los interesados, en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asisten. Esta guía cubre únicamente este objetivo específico, y debe ser complementada con otras guías que las Autoridades de Protección de Datos puedan emitir, en relación con la aplicación del RGPD.

Desde Equal siempre recomendamos contar con un asesoramiento integral a la hora de adaptar nuestro negocio y empresa al RGPD, especialmente para aquellos sectores a los que la Ley obliga a contar con un Delegado de Protección de Datos : https://equalprotecciondedatos.com/elements/dpo-dpd-delegado-de-proteccion-de-datos-empresa/

Guía : https://equalprotecciondedatos.com/wp-content/uploads/2021/09/guia-cumplimiento-deber-informar.pdf

La AEPD Sanciona a una Pyme por no facilitar la información necesaria al recibir curriculums

Sabemos que el deber de información nunca está excluido cuando recabamos datos de carácter personal de cualquier cliente, empleado, proveedor, etc…

Tampoco existe exclusión cuando recibimos curriculums vitae, bien en un proceso de selección determinado, bien de manera espontánea.

Esto, que con la normativa de protección de datos en la mano conocemos, con frecuencia pasa desapercibido y nos olvidamos de la importancia de facilitar la información contemplada en el artículo 13 del RGPD, también en este tipo de situaciones.

Ahora, la Agencia Española de Protección de Datos nos lo viene a recordar a través de una resolución en la que acuerda sancionar a una empresa con 2.000€ precisamente por no “dar acuse de recibo” de los curriculums que recibía, y por tanto, no facilitando dicha información obligatoria.

Y es que, si bien es el interesado quién facilita su curriculum, llevando a cabo por tanto un acto afirmativo, que es libre y voluntario, lo cual posibilita que la empresa destinataria tenga una base de legitimación para el tratamiento, al menos de inicio, lo que, insistimos, no admite excepción es el deber de informar al candidato sobre el tratamiento que haría de sus datos. En concreto, la información contemplada en el citado artículo 13 del RGPD es, entre otra, la identidad y los datos de contacto del responsable del tratamiento, los fines y la base jurídica del tratamiento, el plazo durante el cual se conservará la información recogida, y los derechos que asisten al interesado.

En este caso concreto, el interesado accedió a una oferta de empleo y, siguiendo las instrucciones facilitadas por la empresa, envió su curriculum a través de Whatsapp.

La empresa nunca respondió a dicho mensaje, y por tanto faltó a su deber de informar, lo que dio lugar a una reclamación por parte de este que finalizó en la mencionada sanción.

En concreto en su resolución la AEPD entiende que la empresa había infringido los requisitos de información contenidos en el artículo 13 del Reglamento, «porque no identifica de manera apropiada a su responsable ni los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio», una información que la normativa exige que sea facilitada. Este incumplimiento del principio de transparencia o el derecho a la información del afectado, de acuerdo con el artículo 74.a) de la Ley Orgánica de Protección de Datos española constituye una «infracción leve».

Cierto es que la sanción bien podía haber sido mayor, pero en este caso se tuvo en cuenta que la empresa sancionada no tenía reclamaciones anteriores, que es una pequeña empresa y que no buscó con su conducta buscar un beneficio propio, por lo que se “gradúa” la multa hasta esos 2.000€.

Es importante resaltar que, al igual que ocurre en un número muy elevado de procedimientos que acaban en sanción, la empresa en cuestión tampoco respondió al requerimiento de información sobre el caso que le remitió la Agencia, lo que pone de relieve la vital importancia de, siempre y en todo caso, dar respuesta en tiempo y forma a cualquier requerimiento que podamos recibir.

Bruselas Declara Equivalente la Protección de Datos entre Reino Unido y la Unión Europea

Dentro de los interrogantes que planteaba el “Brexit” se encontraba la situación en la que quedarían numerosas empresas con sede en Reino unido respecto de los tratamientos de datos de usuarios del resto de la Unión Europea.

Pues bien, el pasado mes de junio supimos qué solución se adoptó, al menos de momento, en este problema creado “Brexit – Protección de Datos”.

La Comisión Europea acordó, el día 28 de junio de 2021, dos decisiones de adecuación para las transferencias internacionales de datos personales a Reino Unido.

Una de estas decisiones se refiere al ámbito estricto del Reglamento General de Protección de Datos, mientras que la segunda decisión está relacionada con la protección de datos en el ámbito penal para la cooperación en asuntos judiciales.

Por medio de ellas, Reino Unido se compromete a continuar respetando los principios del RGPD y resto de normativa europea, por lo que Bruselas finalmente ha optado, como decimos, por adoptar estas decisiones que declaran equivalente la protección de datos entre Reino Unido y Europa.

Esto significa que es posible efectuar transferencia de datos entre ambos territorios, sin que ello suponga una transferencia internacional de datos, que estaría sometida a unos requisitos específicos para poder llevarse a cabo. Ello facilita la continuidad en las relaciones comerciales entre ambos, garantizando el pleno respeto a la normativa de protección de Datos europea.

Aún así, desde Bruselas se ha previsto la llamada “cláusula de extinción”, que limita esta decisión a un período máximo de cuatro años, tras el cual deberán someterse a revisión los acuerdos adoptados, comprobando la Unión Europea si Reino Unido continúa cumpliendo en un nivel que resulte equivalente a los principios del RGPD. En caso de que se valore que en ese momento Reino Unido no garantiza un nivel de protección de datos adecuado, Europa se reserva el derecho a no renovar los citados acuerdos.

Igualmente Bruselas se garantiza la opción de intervenir en cualquier momento, sin necesidad de llegar a ese plazo de cuatro años, en caso de que la evolución jurídica de la protección de datos en Reino Unido así lo recomiende.

Por tanto, solo nos queda estar atentos de manera permanente, como en tantas cuestiones, al desarrollo y evolución que Reino Unido pueda tener en el ámbito de la protección de datos, pues de ello dependerá la vigencia de los acuerdos y la posibilidad o no de continuar transfiriendo datos a empresas ubicadas en Reino Unido, lo que afectaría de manera sustancias a numerosos acuerdos comerciales y servicios prestados entre empresas ubicadas en los dos territorios.

El fraude de los servicios de adaptación de protección de datos a «coste cero».

Por más que se haya insistido y puesto el foco desde diferentes Órganos de la Administración, además de por las propias empresas y despachos que, como Equal Protección de Datos, han denunciado siempre las malas prácticas en el sector, lo cierto es que son aún muchas las empresas que continúan cayendo en la trampa de contratar supuestos servicios de adaptación o ‘consultoría’ gratis de protección de datos en un paquete con cursos con cargo a los créditos de formación de los trabajadores (Fundae, antes llamada Fundación Tripartita).

La última en denunciarlo ha sido APEP (Asociación Española de la Privacidad) a través de una campaña en la que una página web simula ofrecer esos servicios gratuitos pero luego, al acceder, lo que el usuario encuentra es precisamente información sobre los riesgos de estas malas prácticas.

Riesgos que normalmente desconocen las empresas que, muchas de buena fe y por desconocimiento, aún caen en esta trampa. No olvidemos que estas prácticas constituyen un triple fraude:

– Por un lado, Inspección de Trabajo sanciona con hasta 187.515 euros el mal uso de los fondos de Fundae

-Por otro lado, hacer pasar un servicio como “formación” es una infracción tributaria, pues no se añade el IVA que debería ser preceptivo sumar a la factura de servicios, que se enmascara en esa supuesta formación, que para colmo suele ser un conjunto de documentación recabada de Internet que para nada sirve a los trabajadores de las empresas que la reciben.

– Pero es que, en tercer lugar, también es un fraude para los trabajadores, a quienes la empresa impone una formación sobre protección de datos que no han elegido).

A pesar, como decimos, de las continuas denuncias y avisos de todo tipo que desde hace años se vienen dando- Fundae, antes llamada Fundación Tripartita, la Agencia Tributaria o la propia Agencia Española de Protección de Datos han emitido diferentes Notas informativas (en 2019 la Agencia emitía una nota sobre el ‘coste cero’ y sus peligros (PDF) ), son todavía muchas las empresas que se siguen valiendo de estas prácticas,  y muchas las que se dejan convencer, creyendo que con ello cumplen con la normativa de protección de datos al tiempo que se ahorran el coste de un servicio externo. 

Con la entrada en vigor del RGPD y la posterior LOPDGDD se produjo de nuevo un incremento de este tipo de empresas. Afortunadamente han descendido a la par que iban siendo denunciadas, pero sigue siendo necesario poner de manifiesto la importancia de contratar auténticos profesionales expertos en la materia que ayuden a las empresas a cumplir, poniendo, como hacemos siempre, el foco en la importancia de:

– Aplicar y cumplir los principios del RGPD a cada empresa específica. Ninguna adaptación es igual que otra. 

– La responsabilidad práctica y la implementación de una cultura de protección de datos en el seno de todas las organizaciones.

Ley de trabajo a distancia y protección de datos

Tras la regulación “de urgencia” de octubre del pasado año 2020 ante la proliferación del teletrabajo, provocado en gran medida por la pandemia que aún sufrimos, se hacía necesaria una normativa más precisa que reforzara la regulación de derechos y obligaciones en este ámbito.

Con ese objetivo ha entrado en vigor la nueva Ley 10/2021, de 9 de julio, de trabajo a distancia que regula esta modalidad de prestación laboral que, más que el hecho de trabajar desde el domicilio, como se podía entender hasta no hace mucho, viene a ampliar el concepto para considerar “teletrabajo” a aquella prestación laboral en remoto, pudiendo estar el trabajador en cualquier lugar, siendo el criterio común no dónde está, sino donde no está a la hora de desarrollar su trabajo: esto es, el trabajador que no está en el centro de trabajo de la empresa.

Recordemos, no obstante, que el teletrabajo ya venía regulado, si bien no desarrollado suficientemente, desde luego, en el Estatuto de los Trabajadores o en el Acuerdo Marco Europeo sobre Teletrabajo de 16 de julio de 2002, que lo definió ya en ese año como “forma de organización y/o de realización del trabajo, con el uso de las tecnologías de la información, en el marco de un contrato o de una relación de trabajo, en la que un trabajo, que hubiera podido ser realizado igualmente en los locales del empleador, se efectúa fuera de estos locales de manera regular”.

No es, por tanto, un concepto nuevo, pero sí se ha incrementado, como decimos, de manera exponencial a consecuencia de la pandemia.

Pero al margen de las cuestiones de índole puramente laboral o del favorecimiento que supone para la conciliación de la vida personal y familiar, es innegable que al amparo de esta situación ya normalizada a día de hoy existen una serie de derechos asociados que entroncan de manera clara con la protección de datos. Así, el derecho a la intimidad, el uso de las herramientas y dispositivos digitales puestos a disposición del trabajador por la empresa, la proliferación de brechas de seguridad y la adecuada respuesta ante las mismas (por parte del trabajador y de la empresa) o el derecho a la desconexión digital están vinculadas directamente con esta normativa del teletrabajo, y las empresas deben ser muy cuidadosas en su cumplimiento.

La normativa que en materia de protección de datos aparece vinculada es extensa, pero fundamentalmente se resume en:

  • Artículo 18 Constitución Española: garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen, además de la inviolabilidad del domicilio y el secreto de las comunicaciones.
  • Artículo 8.4 del Estatuto de los Trabajadores: regula la aplicación de la normativa de protección de datos en el tratamiento del contenido de los contratos.
  • Artículo 20 bis del Estatuto de los Trabajadores: regula el derecho de los trabajadores a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, el ya archiconocido RGPD.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, de gran importancia en este ámbito, pues es pionera al ser la primera norma que recogió expresamente los derechos relacionados con el uso de dispositivos digitales en el ámbito laboral y, muy en particular, el derecho a la desconexión digital.

En cuanto a RECOMENDACIONES a tener en cuenta en materia de protección de datos, hay que indicar que la empresa, como Responsable del Tratamiento, adquiere una gran responsabilidad en el respeto a la normativa, pero también los trabajadores adquieren ciertas obligaciones, que vendrán contempladas en los acuerdos de trabajo a distancia en función de sus tareas en la empresa.

Entre las recomendaciones a tener en cuenta vamos a destacar las que la propia Agencia Española de Protección de Datos ha difundido:

A) Para las empresas (Responsables del tratamiento)

– Definir una política de protección de la información para situaciones de movilidad, que se recogerá en el acuerdo de trabajo a distancia con el trabajador.

– Optar por proveedores de servicio con garantías suficientes. Para evitar soluciones de teletrabajo que no ofrezcan garantías y puedan dar lugar a la exposición de datos de su personal.

– Restringir el acceso a la información. Se configurarán los perfiles o niveles de acceso a los recursos y a la información según los roles de cada empleado.

– Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad. 

– Monitorizar los accesos realizados a la red corporativa desde el exterior. Se establecerán sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en acceso remoto y movilidad, y se comunicarán a la autoridad de control y/o a los interesados las brechas de seguridad que afecten a datos personales.

 Gestionar racionalmente la protección de datos y la seguridad. Se establecerán las medidas y garantías en las políticas a partir de un análisis de riesgos que evalúe la proporcionalidad entre los beneficios a obtener del trabajo a distancia y el impacto potencial de ver comprometido el acceso a información de carácter personal.

B) Para los trabajadores que prestan sus servicios laborales a distancia

 Respetar la política de protección de la información en movilidad definida por la empresa

– Proteger el dispositivo utilizado en movilidad y el acceso al mismo. Se evitará la conexión en lugares públicos y redes Wifi abiertas no seguras; se protegerán los mecanismos de autentificación mediante certificados, contraseñas, tokens, sistemas de doble factor, etc.

– Garantizar la protección de la información que se está manejando. Se minimizará la entrada y salida de documentación en soporte papel; se destruirá la documentación desechada; no se dejará a la vista ningún soporte de información en el lugar donde desarrolle el teletrabajo; etc.

 Guardar la información en los espacios de red habilitados. Se evitará almacenar la información generada durante la situación de movilidad en el propio dispositivo utilizado, siendo preferible el uso de recursos de almacenamiento compartido o en la nube proporcionados por la empresa.

– Si hay sospecha de que la información ha podido verse comprometida, comunicar con carácter inmediato la brecha de seguridad. Se notificarán estas anomalías al responsable, sin dilación y a la mayor brevedad posible, a través de los canales definidos al efecto. Recordemos que, según recoge el RGPD, tan sólo hay un plazo de 72 horas para notificar a la Agencia este tipo de brechas de seguridad que comprometan información con datos de carácter personal.

En todo caso, por su especial relevancia prestamos especial atención a dos cuestiones fundamentales, reguladas en particular en la Protección de datos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD):

  • El derecho a la intimidad y a la protección de datos (artículo 17 Ley 10/2021, de 9 de julio, de trabajo a distancia y 87 LOPDGDD): La empresa no podrá exigir la instalación de programas o aplicaciones en dispositivos propiedad del trabajador, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia.
  • La mencionada “desconexión digital” (artículo 18 Ley 10/2021, de 9 de julio, de trabajo a distancia y 88 LOPDGDD) : Se recoge expresamente que el personal en teletrabajo tienen derecho a la desconexión digital fuera de su horario de trabajo. La Ley del Teletrabajo lleva a cabo un desarrollo mayor que la LOPDGDD, ampliando su regulación, estableciendo que es obligación de la empresa, para garantizar esa desconexión digital, la limitación del uso de los medios tecnológicos de comunicación empresarial y de trabajo durante los periodos de descanso, así como el respeto a la duración máxima de la jornada y a cualesquiera límites y precauciones en materia de jornada que dispongan la normativa legal o convencional aplicables.

Asimismo, es necesario elaborar, previa audiencia de la representación de las personas trabajadoras, una política interna dirigida a los trabajadores, incluidas los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.

Por último, es importante destacar que toda esta nueva regulación que incrementa las obligaciones a tener en cuenta por la empresa no implica que no conserve sus “facultades de organización, dirección y control empresarial en el trabajo a distancia”, lo cual se regula expresamente en los arts. 20 a 22 de la nueva Ley del teletrabajo.

El artículo 20 establece que el personal laboral en modalidad de teletrabajo deberá cumplir las instrucciones que haya establecido la empresa en el marco de la legislación sobre protección de datos, previa participación de la representación legal de los trabajadores.

Igualmente, estos trabajadores deberán cumplir las instrucciones sobre seguridad de la información específicamente fijadas por la empresa, previa información a su representación legal, en el ámbito del trabajo a distancia.

El art. 21, sobre condiciones e instrucciones de uso y conservación de equipos o útiles informáticos, remite a la negociación colectiva; y el art. 22 cierra este capítulo, ordenando las facultades de control empresarial:

  • La empresa podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, incluida la utilización de medios telemáticos, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

En definitiva, es necesario analizar e implementar en cada empresa la política en materia de protección de datos, haciéndola compatible y complementando la nueva legislación sobre teletrabajo con pleno respeto al RGPD, LOPDGDD y resto de normativa aplicable.

La AEPD publica una nueva guía para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto

La Agencia Española de Protección de Datos (AEPD) ha presentado hoy la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, un documento que incorpora la experiencia acumulada en la aplicación de la gestión del riesgo en el ámbito de la protección de datos desde la aplicación del Reglamento General de Protección de Datos (RGPD) y añade las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.

El documento, dirigido a responsables, encargados de tratamientos y delegados de protección de datos (DPD), ofrece una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en protección de datos, y facilita la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.

El RGPD establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos.

La guía presentada hoy es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo. Además, y para los casos de tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la EIPD y, en su caso, la consulta previa a la que se refiere el artículo 36 del RGPD, que establece que el responsable debe consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.

La Guía consta de tres apartados: el primero contiene una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades; el segundo incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo, y el último está enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.

EVALÚA_RIESGO RGPD

Además, la Agencia ha presentado EVALÚA_RIESGO RGPD, el prototipo de una nueva herramienta que ayuda a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.

Los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo, por lo que el responsable deberá identificar aquellos que sean específicos para el tratamiento e incluirlo en su evaluación. La valoración del nivel de riesgo para cada factor que efectúa la herramienta, así como el cálculo final de nivel de riesgo, tiene carácter general y supone una evaluación mínima que, en su caso, tendrá que ser ajustada por dicho responsable para determinar con precisión el nivel de riesgo del tratamiento.

Análisis, gestión de riesgos y EIPD

El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados. Esta gestión debe permitir que el responsable tome las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de los interesados.

Por su parte, el RGPD establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, el responsable debe realizar una evaluación del impacto, proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen.

La gestión del riesgo y la EIPD son procesos que se encuentran estrechamente vinculados, ya que la segunda es una especificidad dentro de la primera. Así, la EIPD no puede existir sin formar parte de la gestión de riesgos, por lo que mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones concretas que se establecen para la EIPD lo son exclusivamente para tratamientos de alto riesgo.

El Sello de calidad de Protección de Datos. La ISO 27701

El Reglamento General de Protección de Datos (RGPD) ya preveía, desde el comienzo, la posibilidad de que las empresas, en el marco del principio de responsabilidad proactiva que la norma comunitaria exige, pudiesen acudir a sistemas de certificación que ayudasen a demostrar dicho cumplimiento en las operaciones de tratamiento llevadas a cabo por los responsables y encargados del tratamiento.

Así, el artículo 24.3 establece:

La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Por otro lado, el artículo 42.1 indica que:

1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.”

Pues bien, derivado de ello y como complemento a las ya conocidas Normas ISO 27001 y 27002 de Seguridad de la Información surgió la ISO 27701 de gestión de la privacidad. Esta norma es una Guía para las organizaciones que quieran cumplir con los requisitos del RGPD y otros sobre privacidad de datos. La ISO 27701, también conocida como Sistema de Gestión de la Información Confidencial (SGIC) proporciona un marco de trabajo para que los controladores y procesadores de la Información Personal Identificable gestionen la información confidencial. Dichos sistemas de gestión de la información confidencial también se denominan “sistemas de gestión de la información personal.”

En comunión necesaria con las mencionadas ISO 27000 y 27001, pues previamente debe contarse con estas, la ISO 27701 da como resultado un SISTEMA DE GESTIÓN DE LA PRIVACIDAD DE LA INFORMACION (SGPI), estableciendo los requisitos para implementar, mantener ymejorar continuamente los procesos de privacidad en las empresas.

Se hace referencia en la norma al respeto a los principios del RGPD, el cumplimiento de las bases de legitimación, la obligación de transparencia e información, el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, la evaluación de impacto, la notificación a la autoridad de control de posibles brechas de seguridad o la designación del Delegado de Protección de Datos (DPD) entre otros.

El propósito es ayudar a reducir el riesgo con respecto a los derechos de privacidad de los individuos y las organizaciones al mejorar un sistema de gestión de la seguridad de la información existente.

El hecho de disponer de este sistema de certificación será sin duda, una manera inmejorable de acreditar tanto a clientes como otras partes interesadas que la empresa ha implantado sistemas de gestión efectivos para lograr el cumplimiento con el RGPD y otras legislaciones sobre privacidad, actuando como garantía de dicho cumplimiento.

Desde el punto de vista del régimen sancionador en materia de privacidad, recogido en el RGPD y en las legislaciones nacionales, la obtención de este “sello de protección de datos” puede suponer una prueba al menos indiciaria de ese mencionado cumplimiento de la responsabilidad proactiva exigida, lo que sin duda ayudará en la defensa de los intereses de la empresa en caso de alguna actuación inspectora o denuncia.

Pero no solo debemos tenerlo en cuenta desde el punto de vista meramente de la acreditación del cumplimiento normativo de cara a las Autoridades de Control, sino que, quizá lo más importante, supone un valor añadido y un argumento de valor competitivo en un contexto como el actual de mercado digital, en el que si no existe una confianza mínima en el interesado sin duda no llevará a cabo operaciones que ahora mismo resultan imprescindibles para la supervivencia de las empresas. Se trata, por tanto, de un auténtico salto cualitativo para las empresas, que generará confianza y aumentará el “valor de marca” de la empresa que disponga de estos mecanismos de certificación.

Brecha de seguridad, Hackeo sufrido por Glovo

El pasado mes tuvimos conocimiento de un nuevo ciberataque, en esta ocasión a la empresa de reparto a domicilio Glovo, después de los sonadísimos al SEPE, Mapfre, Adeslas,  y un largo etcétera de empresas, grandes y pequeñas, que han sufrido los efectos devastadores, por diferentes motivos, de este tipo de incidentes de seguridad.

En concreto ya sabíamos que un grupo de hackers habían logrado acceder a las bases de datos completas de Glovo, lo que supone una brecha de seguridad grave, pero que ahora se ha acrecentado al poner a la venta en internet dichas bases de datos.

En concreto, según los hackers, los datos disponibles de los usuarios de la aplicación eran:

  • Nombre completo
  • Cumpleaños
  • Correo electrónico
  • Contraseña cifrada con SHA256
  • Número de teléfono
  • Dirección física
  • Código postal
  • Tarjeta de crédito, fecha de caducidad y CVC
  • DNI
  • IBAN de la cuenta bancaria

Pero el problema no termina ahí, pues también quedaron expuestos los siguientes datos de los repartidores:

  • Nombre completo
  • Email
  • Contraseña cifrada con SHA256
  • Método de transporte
  • Código postal
  • Dirección física
  • IBAN de la cuenta bancaria
  • DNI
  • Fecha de nacimiento
  • Foto del documento de identidad

Se trata, como decimos, de una brecha de seguridad grave de confidencialidad, con un claro riesgo, dado el tipo de datos que contenía, para los propios interesados afectados. De hecho, desde distintos medios se ha recomendado a los usuarios de la empresa de reparto a domicilio que cambien la contraseña e incluso cancelen la tarjeta de crédito, para evitar problemas mayores.

Como ya sabemos, cuando ocurre un incidente de este tipo el artículo 33 del RGPD establece que: “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.”

Asimismo, el artículo 34 del propio RGPD obliga también a notificar la brecha de seguridad a los interesados cuando “entrañe un alto riesgo para los derechos y libertades de las personas físicas”.

Parece que Glovo notificó a la Agencia la brecha de seguridad, pero omitiendo que entre la información comprometida se encontraban, por ejemplo, los datos de las tarjetas de crédito. Por tanto, la comunicación a la Autoridad de Control adolecía de al menos un error grave, al margen de que también, precisamente por esta circunstancia, habría que haber notificado a todos los interesados lo que había sucedido a los efectos de que cada usuario hubiera podido adoptar las medidas que entendiera necesarias a fin de evitar problemas.

El apartado 3 del mencionado artículo 33 del RGPD indica que solo no será necesaria esta comunicación si

  • a)El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado
  •  b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1
  • c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados

Ninguna de estas circunstancias parece que se hayan producido en el presente caso, por lo que no existe excepción en la comunicación a los interesados, debiendo ahora permanecer atentos para ver las posibles consecuencias que en forma de sanción o de posibles reclamaciones de interesados pueda tener que afrontar la empresa de reparto a domicilio.