Norma legal relacionada con Protección de datos. RGPD / LOPD

La AEPD ha sancionado con 30.000 Euros de multa a un establecimiento hotelero, por infracción, calificada como muy grave, del Artículo 6 del RGPD, en relación a la licitud del tratamiento de datos personales a la hora de hacer el registro de entrada.

El reclamante, un ciudadano de Paises Bajos, inició el proceso de reclamación ante la autoridad de control de su país, dando esta traslado de la reclamación a la autoridad competente, la AEPD, al encontrarse el establecimiento hotelero en España.

En su reclamación el reclamante indica que en el proceso de entrada y registro en el hotel le fue solicitado el pasaporte, siendo este escaneado digitalmente y en su totalidad pese a su oposición, alegando que no todos los datos incluidos en el mismo son necesarios. El personal del hotel le respondió señalando que ellos simplemente seguían las instrucciones de la policía en relación al registro de clientes.

En relación con la cuestión suscitada por el reclamante, la autoridad remitente preguntó si realmente la ley española obliga a escanear el pasaporte completamente o sólo son necesarios algunos datos para cumplir el proceso de registro.

¿Cuál ha sido el motivo de sanción?

El hotel, en el proceso de registro de entrada del cliente, escaneaba mediante un programa de reconocimiento óptico de caracteres el documento identificativo del cliente, incorporándose los datos que constan en el mismo de manera automatizada a un fichero interno de registro, datos como número, tipo y fecha de expedición del documento de identidad presentado, nombre y apellidos, sexo, la fecha y país de nacimiento, así como la fotografía.

Dichos datos, en cumplimiento de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos fueron remitidos a las Fuerzas y Cuerpos de Seguridad del Estado, así como utilizados para la “gestión hotelera».

Dentro de ese proceso de gestión hotelera dichos datos eran transferidos a los departamentos de administración y servicios de comida y bebida, de tal forma que al cliente se le dotaba de una tarjeta para que pudiese cargar de manera automatizada sus consumos en el hotel, contando el personal de servicios del hotel con dispositivos electrónicos, tablets, donde podían comprobar, al constar en los mismos fotografía del cliente, que no se daba uso fraudulento a dicha tarjeta de consumo interno.

Pues bien, la información en materia de protección de datos personales que la entidad reclamada facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que erandesconocidas por los interesados. De hecho, ni siquiera el tratamiento de datos a que es sometida la fotografía figura en el Registro de Actividades de Tratamiento.

Por otro lado, en la fase de pruebas del procedimiento, el instructor requirió expresamente a la entidad reclamada copia de su política de privacidad, en todas sus versiones vigentes a partir del 25/05/2018 y de cualquier aviso de privacidad o informaciones adicionales, además de un detalle sobre los canales habilitados para dar a conocer esta información, y dicha entidad no aportó el documento informativo que ahora aporta con sus alegaciones a la propuesta de resolución.

Para finalizar, siendo este el motivo principal de la cuantiosa sanción, la AEPD considera que no existe un tratamiento de datos lícito, al no existir un interés legitimo, no existiendo base jurídica que lo sustente.

Si bien el hotel alega que, para evitar el uso fraudulento de la tarjeta, sus empleados contaban con la fotografía del cliente de cara a comprobar su identidad, la agencia indica la necesidad de llevar a cabo una meticulosa ponderación de derechos de cara a valorar si los intereses y derechos fundamentales del titular de los datos personales podrían prevalecer frente a los intereses legítimos del responsable cuando el tratamiento de los datos se efectúe en circunstancias tales en las que el interesado “no espere razonablemente” que se lleve a cabo un tratamiento ulterior de sus datos personales.

Según la autoridad de control, el reclamado no ha justificado este interés legítimo de forma suficiente para permitir la prueba de ponderación entre el interés del responsable y los derechos del interesado, necesaria para determinar la licitud de los tratamientos llevados a cabo. En este caso, además, no consta que la citada entidad haya realizado esa prueba de ponderación y haya informado debidamente al reclamante sobre esta base legitimadora.

Al faltar la información relativa a la prueba de ponderación, el interesado se ve privado de su derecho a conocer la base jurídica del tratamiento alegada por el responsable, y en concreto, al referirse al interés legítimo, se ve privado de su derecho a conocer cuáles son dichos intereses legítimos alegados por el responsable o de un tercero que justificarían el tratamiento sin tener en cuenta su consentimiento.

En el supuesto denunciado no existen evidencias sobre la prestación de un consentimiento válido por parte de los clientes que ampare los tratamientos de datos personales que el reclamado lleva a cabo con la fotografía de dichos clientes. Esta entidad ni siquiera informa sobre esta utilización de la fotografía, ni ha establecido ningún mecanismo para que los clientes puedan consentir esta utilización mediante un acto afirmativo separado para estas concretas operaciones de tratamiento, las cuales tampoco constan recogidas en el Registro de Actividades de Tratamiento.

Como se puede ver, la protección de datos es un complejo proceso que requiere de personal altamente especializado para poder cumplir con todas las obligaciones que supone, déjate asesorar por expertos!!

PROTECCIÓN DE DATOS HOTELES | EQUAL |

    Su nombre (requerido)

    Su e-mail (requerido)

    Teléfono de contacto. y disponibilidad

    Su mensaje

    He leido y acepto la Política de Privacidad

    Por favor, prueba que eres un humano seleccionando la bandera.

    La Agencia Española de Protección de datos ha sancionado con 3000 Euros a una empresa debido al envío de publicidad por correo electrónico sin contar con el consentimiento del destinatario de la publicidad.

    En el procedimiento sancionador PS/00434/2021, el reclamante inicia el proceso contactando con la autoridad de control, indicando estar recibiendo comunicaciones comerciales no solicitadas procedentes de la empresa reclamada a través de su dirección de e-mail, a pesar de haber hecho uso del enlace contenido en los mismos para cancelar la suscripción y respondido a uno de los mensajes solicitando la detención de los envíos.

    La agencia traslado la reclamación a la parte reclamada sin recibir respuesta, por lo que se admitió a trámite dicha reclamación, iniciándose finalmente procedimiento sancionador por presunto incumplimiento del artículo 21.1 de la LSSI.

    ¿Qué nos dice el artículo 21.1 de la LSSI?


    1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que
    previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas

    2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

    Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de
    correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha
    dirección.

    Por otra parte, el artículo 22.1 de la LSSI establece que:

    1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de
    su voluntad al remitente.

    A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que
    hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una
    dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no
    incluyan dicha dirección.

    La AEPD multa debido al envío de comunicaciones comerciales no deseadas

    La Agencia, tras valorar la documentación aportada por el reclamante, considera que ha sido vulnerada la Ley en materia de protección de datos, calificándose la infracción como leve, pudiendo ser sancionada con multa de hasta 30.000 Euros.

    Teniendo en cuenta los artículos 39bis y 40 de la LSSI en relación a la moderación de las sanciones y la graduación de la cuantía de las sanciones respectivamente, la autoridad de control decide sancionar con 3000 Euros a la empresa reclamada, poniendo de manifiesto las siguientes circunstancias agravantes :

    a) La existencia de intencionalidad, debido a la falta de diligencia como integrante del elemento subjetivo de la culpabilidad, al ser enviados tres e-mails
    comerciales sin consentimiento del reclamante y a pesar de que este se dirigió a la empresa solicitando que no se detuvieran dichos envíos y recordándole que el
    tratamiento de sus datos debía contar con su consentimiento.

    b) Plazo de tiempo durante el que se haya venido cometiendo la infracción, puesto que la entidad se ha reiterado en la conducta, continuando en el envío de las
    citadas comunicaciones entre el 07/01/2021 y 16/04/2021 a pesar de la solicitud manifestada anteriormente.

    Como vemos es realmente sencillo poder ser sancionado por no cumplir con la Ley en materia de protección de datos, haciéndose fundamental contar con un servicio que permita que nuestra empresa este totalmente adaptada al RGPD, la LOPD y a la ya mencionada LSSI.

    Equal, Abogados protección de datos en Madrid.

    La Agencia Española de Protección de datos ha multado Amazon Road Transport Spain, S.L. (“Amazon Road”) con dos millones de Euros al no cumplir el principio de licitud del tratamiento al tratar datos personales relacionados con antecedentes penales.

    Amazon Road es parte del grupo Amazon, encargándose de proporcionar distintos servicios de distribución a dicho grupo.

    La Unión General de Trabajadores fue la encargada de presentar reclamación ante la AEPD, indicando que Amazon Road estaba solicitando certificado de ausencia de antecedentes penales a candidatos a distintos puestos de trabajo.

    ¿Supone el solicitar certificado de carencia de antecedentes penales un tratamiento de datos de naturaleza penal regulado por el Reglamento General de Protección de Datos?

    La empresa reclamada alegó ante la AEPD lo siguiente : “un certificado de antecedentes penales que ponga de manifiesto que una persona concreta carece de condenas penales no recoge de manera estricta ningún dato relacionado con condenas e infracciones penales”.

    Sin embargo la AEPD no está de acuerdo con este argumento al considerar que la información contenida en un certificado de existencia de antecedentes penales o de no existencia de los mismos, así como su solicitud, supone un tratamiento de datos. La información que se está tratando es un dato relativo a condenas penales, estando vinculado con una persona física concreta.

    La AEPD multa a Amazon

    La AEPD multa a Amazon Road con una sanción de dos millones de Euros por no cumplir con el RGPD, estando en el mismo regulado el tratamiento de los datos personales de naturaleza penal.

    Dicho tratamiento de datos de naturaleza penal sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas” (art. 10 del RGPD) o “solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal” (art. 10 de la LOPDGDD). Por ello la AEPD, indicando la no existencia dentro de del derecho de una norma que permita llevar a cabo el tratamiento de datos de antecedentes penales pretendido, concluye que «no cabe, en este caso, acudir a otras bases jurídicas para legitimar el tratamiento de datos personales relativos a condenas e infracciones penales”.

    Adapta tu empresa o entidad a la LOPD, abogados expertos.

    En el procedimiento sancionador PS/00219/2021, instruido por la Agencia Española de Protección de Datos, a la CONSEJERÍA DE EDUCACIÓN del Principado
    de Asturias, titular y responsable de la página web, ***URL.1, (en adelante, “la parte reclamada”), por presunta infracción del RGPD, se apercibe a dicha entidad al no haber cumplido con el Reglamento General de Protección de Datos.

    El reclamante, en fecha 09/01/21, inició el procedimiento, indicando ante la agencia la existencia de irregularidades en cuanto al cumplimiento del RGPD por parte del titular de determinada web, siendo dicho titular la Consejería de Educación del Principado de Asturias, en su escrito expresa lo siguiente :

    “Se detectaron en la página web ***URL.1 infracciones administrativas tipificadas en el Reglamento general de protección de datos («RGPD») y en la Ley 34/2002, de 11
    de julio, de servicios de la sociedad de la información y de comercio electrónico, tanto en su política de privacidad como en la política sobre cookies»

    «Por otra parte, al acceder a la página web ***URL.1 que se denuncia, se comprueba que se accede a la dirección con protocolo de seguridad “http”, posibilitando así, que
    otros usuarios puedan interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se
    trasfiere de forma segura (encriptada) (…)”.

    Ante ello la agencia dirigió requerimiento informativo a la parte reclamada, recibiendo escrito de contestación por parte de la Consejería, en el que indican que a su entender no existe falta de adecuación de la web al RGPD en lo relativo a la política de privacidad y cookies, expresando que la web no maneja información sensible o personal de los usuarios «al tener un carácter meramente informativo para los usuarios, de las actividades desarrolladas por el Centro Integrado FP ***LOCALIDAD.1 o noticias relacionadas con la Formación Profesional».

    Por otro lado la consejería manifiesta en relación a las cookies lo siguiente :

    «Las «cookies» utilizadas por ***URL.1 no son invasivas ni nocivas, y no contienen datos de carácter personal. No obstante, se informa al usuario que navega por nuestra web que se utilizan y se le pide su aprobación, ya que puede desactivarlas siguiendo las instrucciones de su navegador.»

    La Agencia Comprueba e inicia Procedimiento Sancionador

    Recibidas las alegaciones por parte del reclamado, la agencia procede a realizar comprobaciones sobre la web de la que la Consejería es titular, constatándose :

    • En relación al tratamiento de datos personales, el hecho de que se produce una recopilación de los mismos, datos como el nombre, apellidos, email, etc., produciéndose la misma a través de formularios, siendo posible el envío de información sin necesidad de haber “leído y aceptado” la política de privacidad o aviso legal. No existe más que un botón con el mensaje de «enviar».

    • Referente a la política de privacidad, la no actualización y adecuación al Reglamento General de Protección de Datos.

    • Sobre las cookies y su política, la instalación de cookies, no necesarias para el funcionamiento de la web, tanto propias como de terceros, así como la no adaptación al modelo de capas, por otro lado, la política de cookies no informa de que cookies son instaladas ni cual es su función.

    Por todo ello la Agencia Española de Protección de Datos decide iniciar procedimiento sancionador.

    La Consejería es Apercibida

    Finalmente ,y trás recibir las pertinentes alegaciones por parte de la Consejería, habiendo adecuado la web al RGPD, la AEPD decide apercibir por :

    • Infracción del artículo 32.1) del RGPD, sancionable conforme a lo dispuesto en el art. 83 de la citada norma, respecto de la falta de seguridad en la página
      web, durante el tiempo que estuvo activo el protocolo http//, en página web en cuestión hasta su modificación.
    • Infracción del artículo 13) del RGPD, por el tiempo que estuvo sin adaptar la “Política de Privacidad”, a la nueva normativa vigente.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    El supremo ha ratificado la sanción de 40.000 Euros impuesta por la AEPD a Mutua Madrileña por enviar anuncios a un cliente que había rechazado el uso de sus datos para fines comerciales, cliente que se encontraba incluido en la lista Robinson.

    La sala tercera de lo contencioso administrativo estima que una empresa es siempre responsable última de su publicidad, incluso en el supuesto de tener subcontratado el servicio de publicación de campañas publicitarias.

    El caso en cuestión tiene su origen en la reclamación de un cliente de la aseguradora que tenía contratadas diversas pólizas, habiéndose inscrito en la lista Robinson de cara a no seguir recibiendo publicidad de la empresa. La inclusión en este servicio le blindaba frente comunicaciones publicitarias, así como frente a la participación en estudios de mercado.

    Dicho cliente había ejercido el derecho de oposición al tratamiento de sus datos personales ante la aseguradora, habiendo enviado diversas comunicaciones en las que indicaba que únicamente autorizaba el tratamiento de sus datos personales para aquellos fines imprescindibles para el desarrollo de la relación contractual.

    Pese a ello, el reclamante siguió recibiendo comunicaciones publicitarias por parte de la aseguradora, al no haber esta comunicado a la empresa encargada de la gestión publicitaria la oposición por parte del cliente al tratamiento de sus datos personales con fines publicitarios.

    Por todo ello, sentando jurisprudencia, el Supremo ratifica la sanción impuesta por la AEPD, ya que el responsable último, pese a existir una subcontratación del servicio publicitario, es la empresa aseguradora, estando obligada a adoptar toda medida que garantice la efectividad del ejercicio del derecho de oposición por parte del cliente.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    Seudonimización y anonimización son dos conceptos que de manera habitual generan confusión.

    La gran diferencia radica en las garantías que protegen los derechos de los interesados, el Reglamento General de Protección de Datos (RGPD) no se aplica para los datos anonimizados, siendo de aplicación tanto en el caso de datos seudonimizados, como en relación a la información adicional vinculada con dichos datos.

    El RGPD entiende como información anónima al conjunto de datos que no guarda relación con una persona identificada o identificable ( Considerando 26 del RGPD), sin embargo, la información seudonimizada permite, mediante el uso de información adicional, que dichos datos se puedan atribuir a un interesado. Dicha información adicional ha de figurar por separado, estando sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable

    Siempre que se transformen datos personales en información anónima o seudonimizada se estará llevando a cabo un tratamiento sobre dichos datos personales. El tratamiento de seudonimización dará lugar a dos nuevos conjuntos de datos : la propia información seudonimizada y la información adicional que permite que dichos datos puedan ser atribuidos a un interesado en concreto. Con respecto al proceso de anonimización únicamente se genera un nuevo conjunto de datos.

    Como indicamos anteriormente, los datos anonimizados no están bajo el ámbito de aplicación del RGPD ( Considerando 26), pudiendo estar bajo el ámbito de aplicación de normas como seguridad nacional, salud pública,etc. En este caso hay que tener en cuenta que :

    • Los datos anonimizados quedan fuera del ámbito de aplicación del RGPD siempre que se puede demostrar la no existencia de capacidad material para asociar dichos datos a una persona física en concreto,  directa o indirectamente, ya sea mediante el uso de otros conjuntos de datos, informaciones o medidas técnicas y materiales que pudieran existir a disposición de terceros.
    • El tratamiento que generan los datos anonimizados sí es un tratamiento de datos personales, que puede considerarse compatible con el fin original del tratamiento de datos personales del que proceden los datos 

    ANONIMIZACIÓN, SEUDONIMIZACIÓN Y SUS GARANTÍAS

    Serán considerados como anónimos aquellos datos que no permitan la identificación de una persona física, teniendo en cuenta el tiempo requerido para llevar a cabo la reidentificación, los costes, así como los medios tecnológicos actuales o futuros usados para revertir el proceso. Siendo la garantía fundamental la robustez del proceso de anonimización contra una posible reidentificación. La reversión de la anonimización supone la plena aplicación del RGPD a los sujetos obligados que traten los datos personales.

    Los datos seudonimizados, el tratamiento inicial que los genera, así como la información adicional vinculada a los propios datos seudonimizados se encuentran bajo el ámbito de aplicación del Reglamento General de Protección de Datos, estando protegidos por cuatro tipos de garantías :

    1. El tratamiento de seudonimización que ha de evitar que se pueda reidentificar sin disponer de información adicional.
    2. Los principios y garantías del RGPD y las limitaciones que establece en relación a las finalidades, periodo de conservación,etc.
    3. Las garantías adicionales que lleve el tratamiento de los datos en función del riesgo para los derechos y libertades de las personas físicas.
    4. Las garantías técnicas y organizativas dispuestas de cara a impedir que se produzcan brechas de datos personales, ya sea sobre los datos seudonimizados o sobre la información adicional asociada.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    La Agencia Española de Protección de Datos (AEPD) ha sancionado con 4000 Euros a un Club deportivo, al haber este incluido en un grupo de Whatsapp a un antiguo cliente, sin contar con consentimiento previo u autorización por parte de dicho cliente.

    El afectado reclama ante la AEPD indicando que su número de teléfono, siendo este un dato personal, ha sido incluido en un grupo de Whatsapp sin habérsele solicitado consentimiento previo. Para mayor gravedad, el cliente no es usuario o mantiene relación alguna con el centro deportivo desde hace más de 10 años.

    Una vez iniciado el procedimiento la Agencia dio traslado de dicha reclamación al reclamado, de cara a que se procediese al análisis de la misma y se informase a la AEPD de las acciones llevadas a cabo para adecuarse a la normativa de Protección de datos, no recibiendo respuesta  por parte del reclamado.

    LA AEPD ACTUA ANTE LA VULNERACIÓN DEL RGPD

    Por todo ello, la AEPD inició procedimiento sancionador, por la presunta infracción de los arts. 32, 5.1.e) y 6 del RGPD.

    El reclamado vulnera el art, 6 del Reglamento General de Protección de Datos al haber tratado datos personales del reclamante sin su previo consentimiento

    Por otro lado, y como indicábamos previamente, contraviniendo el art. 5.1 e) del RGPD, el centro deportivo conserva los datos personales del cliente pese a que el reclamante no es su cliente desde hace más de diez años. El RGPD establece que los datos no podrán conservarse más que el tiempo necesario para la finalidad para la que fueron tomados.

    Para finalizar, al haber puesto a disposición de terceros el número de teléfono móvil del reclamante, habiéndole incluido en un grupo de Whatsapp, se vulnera su confidencialidad. Considerando la agencia que las medidas de seguridad del reclamado no se adecuan a la Ley, al contravenir los apartados b y d del art. 32 del Reglamento.

    4000 EUROS DE SANCIÓN

    Si bien la AEPD considera que no hay intencionalidad en la vulneración del RGPD, si valora dicha vulneración como significativa, al conservar el reclamado los datos personales del reclamante pese a no ser cliente desde hace más de diez años.

    Por todo ello la AEPD impone al club deportivo las siguientes cuatro sanciones:

    • Por la infracción del art. 6 del RGPD, una multa de 1.000 euros;
    • Por la infracción del art. 5.1 e) del RGPD, una multa de 1.000 euros;
    • Por la infracción del art. 32.1 e) del RGPD, una multa de 1.000 euros;
    • Por la infracción del art. 32.1 d) del RGPD, una multa de 1.000 euros.



    Numerosos medios de comunicación se están haciendo eco del fin de la moratoria contemplada en la Ley 10/2021, de 9 de julio, de trabajo a distancia, la llamada “Ley del teletrabajo” para que las empresas se adapten y evitar sanciones desde este momento.

    En efecto, la ley, que entró en vigor el día siguiente al de su publicación en el BOE (esto es, el 10 de julio), y a la que ya hicimos referencia en nuestro artículo del mes de julio (https://equalprotecciondedatos.com/ley-de-trabajo-a-distancia-y-proteccion-de-datos/) daba un plazo de tres meses para llevar a cabo dicha adaptación, que finaliza en octubre. Además, en lo que respecta al régimen sancionador entraba en vigor el día 1 de octubre, tal y como establece la Disposición final decimocuarta.

    ¿ES LO MISMO TELETRABAJO Y TRABAJO A DISTANCIA?

    Antes de hacer referencia a lo que la norma obliga a las empresas, y en especial a las referencias a la normativa de protección de datos, conviene detenerse un momento en las definiciones de “trabajo a distancia”, “teletrabajo” y “trabajo presencial”, ya que a menudo los conceptos se confunden

    El artículo 2 de la Ley establece al respecto:

    a) «Trabajo a distancia»: forma de organización del trabajo o de realización de la actividad laboral conforme a la cual esta se presta en el domicilio de la persona trabajadora o en el lugar elegido por esta, durante toda su jornada o parte de ella, con carácter regular.

    b) «Teletrabajo»: aquel trabajo a distancia que se lleva a cabo mediante el uso exclusivo o prevalente de medios y sistemas informáticos, telemáticos y de telecomunicación.

    c) «Trabajo presencial»: aquel trabajo que se presta en el centro de trabajo o en el lugar determinado por la empresa.

    Es decir, el llamado “teletrabajo” no es, de acuerdo a la ley, si no una forma de trabajo a distancia en la que se emplean, de forma exclusiva o al menos mayoritaria, medios y herramientas informáticas.

    Ahora bien, ¿es “trabajo a distancia” el desempeño puntual de las funciones laborales? La ley nos aclara en su artículo 1º que se entenderá por trabajo a distancia aquel  que se preste, en un periodo de referencia de tres meses, un mínimo del treinta por ciento de la jornada, o el porcentaje proporcional equivalente en función de la duración del contrato de trabajo.

    Si no se llega a este porcentaje no se podrá considerar trabajo a distancia, como tampoco se aplica por el momento a empresas cuyas plantillas comenzaron a trabajar a distancia como consecuencia de las medidas de contención sanitaria derivadas de la pandemia, a las que les seguirá siendo de aplicación la normativa laboral ordinaria, teniendo en cuenta que si una vez levantadas las restricciones por la misma pretenden continuar en esta modalidad, sí deberán acogerse y adaptarse a la Ley del teletrabajo.

    LEY DEL TELETRABAJO Y PROTECCION DE DATOS

    Pues bien, dicho lo anterior a efectos de aclarar dudas que aún hoy son motivo de consulta, interesa poner de relieve que, dentro de las obligaciones que la Ley del teletrabajo impone a las empresas, la más importante, y que más quebraderos de cabeza parece estar dando, es la obligación de que la situación laboral de trabajo a distancia o teletrabajo quede plasmada en un acuerdo por escrito que puede ser anexado al contrato laboral de la persona trabajadora. Y que, además, cuestión importante, debe ser negociado individuamente con cada trabajador y posteriormente ser remitido al SEPE.

    Este acuerdo por escrito, que toda empresa debe tener a disposición en un plazo de tres meses desde que nace la obligación (bien aquellas empresas que ya tenían personal en teletrabajo, siempre que este no fuera a causa de la pandemia), o bien quienes comiencen una nueva relación laboral en esas condiciones (algo cada vez más habitual),tiene un contenido mínimo que recoge el artículo 7 de la Ley. 

    Cuestiones como la duración, el lugar de trabajo elegido por el empleado o medios de control empresarial son fundamentales y deben aparecer en dicho acuerdo de manera preceptiva. Y que, además, cuestión importante, debe ser negociado individuamente con cada trabajador y posteriormente ser remitido al SEPE.

    En lo que respecta a la NORMATIVA DE PROTECCIÓN DE DATOS hay que destacar dos importantes cuestiones:

    1.- Facilitar un procedimiento en materia de protección de datos a las personas que vayan a trabajar a distancia y que sea específicamente aplicable a esta modalidad de trabajo. Cuestión importante es que la ley contempla que, si existe representación legal de los trabajadores, debe contarse con su participación en la elaboración de estas instrucciones. Este procedimiento debe constar en el citado acuerdo escrito entre trabajador y empresa.

    2.- Establecer y distribuir una política de desconexión digital, que ya la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) establecía, pero que en la ley del Teletrabajo cobra más fuerza e importancia.

    A los dos puntos anteriores hay que sumarle que también es preceptivo, y debe incluirse en ese acuerdo escrito entre las partes, unas instrucciones dictadas por la empresa sobre seguridad de la información, específicamente aplicables en el trabajo a distancia. En este caso no se exige contar y negociar con la representación legal de los trabajadores, si existe, pero sí se les debe informar previamente a su aprobación.  

    ¿QUÉ OCURRE CON EL CONTROL HORARIO?

    Por último, la Ley del Teletrabajo habla de la necesidad y obligatoriedad de la flexibilidad horaria. Siendo cierto que se indica como obligatoria esta flexibilidad para el trabajador, también lo es que, como todo derecho, este no es absoluto, ya que la empresa puede fijar tiempos de disponibilidad.

    Para ello se recomienda el uso de una aplicación que pueda ser utilizada con este fin, no siendo operativo en estas situaciones de trabajo a distancia la firma en una hoja de control, como en numerosas ocasiones se hace en trabajo presencial.


    Si el trabajador tiene conocimiento de la existencia de cámaras de videovigilancia, con las que pueda estar siendo grabado en el desempeño de sus funciones en el puesto de trabajo, la empresa no está obligada a informar sobre el uso que se da a dicho sistema de videovigilancia, pudiendo ser las imágenes utilizadas en un procedimiento judicial.

    El Tribunal Supremo, en sentencia de 21 de Julio de 2021, indica que el artículo 88.1 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) de 2018, establece que en el supuesto de que se haya captado mediante sistema de videovigilancia la comisión flagrante de un acto ilícito por parte de los trabajadores, se entenderá cumplido el deber de informar siempre que el trabajador sea consciente de la existencia de dicho sistema.

    El ponente, el magistrado García-Perrote Escartín, indica que la sentencia del Tribunal Constitucional 39/2016, 3 de marzo de 2016, así lo reconoce.

    De cara a que al trabajador le conste la existencia de un sistema de videovigilancia, y en cumplimiento de la Ley en materia de protección de datos, la empresa deberá colocar un dispositivo informativo indicando la existencia de un sistema de videovigilancia, en lugar suficientemente visible, identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos.

    Adicionalmente, el magistrado, considera que en determinadas circunstancias, tal y como establece la sentencia del Tribunal Europeo de Derechos Humanos (TEDH ), en la sentencia de su Gran Sala de 17 octubre 2019 (López Ribalda II), no es preciso que la empresa indique al trabajador la existencia y localización de determinadas cámaras, sin que ello conlleve la nulidad como prueba de la grabación.

    Cuestión distinta es que, para cumplir con la normativa de protección de datos y en concreto con el deber de informar, sí se deberá facilitar a los trabajadores la finalidad o finalidades concretas de las grabaciones de cara a evitar posibles consecuencias en este ámbito.

    La Comisión de Protección de Datos (CPD) de Irlanda, ha sancionado a Whatsapp con una multa de 225 millones de Euros por falta de transparencia.

    Una opacidad mostrada tanto a la hora de informar sobre el tratamiento que da a los datos personales de usuarios y no usuarios, como a la hora de especificar que datos se transfieren entre Whatsapp y otras redes sociales del grupo como Facebook e Instagram.

    Esta multa es la segunda de mayor cuantía impuesta por el organismo regulador en aplicación del Reglamento General de Protección de Datos (RGPD) , solo habiendo sido superada por la multa impuesta a Amazon por el CNPD, autoridad de protección de datos de Luxemburgo, por valor de 746 millones de Euros.

    Whatsapp no solo ha sido multado, si no que se le ha impuesto una orden de cara a que corrija su normativa y procesos adaptándolos al RGPD.

    UN LARGO PROCESO

    La sanción es resultado de una investigación iniciada por la autoridad irlandesa en 2018, de cara a averiguar si Whatsapp cumplía con el RGPD, habiendo propuesto en un primer momento una sanción de 30-50 millones de Euros.

    Dicha propuesta, al afectar la vulneración del Reglamento a toda Europa, fue compartida con las distintas autoridades de control de diversos países europeos, mostrando estos su desacuerdo con la autoridad irlandesa.

    La principal disputa versaba sobre la gravedad y alcance del no ajuste al Reglamento por parte de Whatsapp, así como sobre la cuantía de la sanción.

    Al no existir acuerdo entre los distintos organismos reguladores se hubo de acudir al Comité Europeo de Protección de Datos, tomando este la decisión de elevar la sanción a 225 millones de Euros.

    WHATSAPP SE DEFIENDE

    Whatsapp, en un comunicado, ha indicado que la sanción se basa en el nivel de detalle de políticas vigentes hace tres años, habiendo sido su política de privacidad actualizada recientemente.

    La compañía asegura que trabaja para garantizar la máxima transparencia en la información que facilita a sus usuarios, manifestando no estar de acuerdo con la sanción, al considerarla desproporcionada.

    A lo largo de este año, tanto Facebook como Whatsapp han sido objeto de diversas polémicas en relación a la protección de datos, todo ello a causa del anuncio por parte de la aplicación de mensajería de cambios en su política de privacidad y condiciones de uso.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    Sabemos que el deber de información nunca está excluido cuando recabamos datos de carácter personal de cualquier cliente, empleado, proveedor, etc…

    Tampoco existe exclusión cuando recibimos curriculums vitae, bien en un proceso de selección determinado, bien de manera espontánea.

    Esto, que con la normativa de protección de datos en la mano conocemos, con frecuencia pasa desapercibido y nos olvidamos de la importancia de facilitar la información contemplada en el artículo 13 del RGPD, también en este tipo de situaciones.

    Ahora, la Agencia Española de Protección de Datos nos lo viene a recordar a través de una resolución en la que acuerda sancionar a una empresa con 2.000€ precisamente por no “dar acuse de recibo” de los curriculums que recibía, y por tanto, no facilitando dicha información obligatoria.

    Y es que, si bien es el interesado quién facilita su curriculum, llevando a cabo por tanto un acto afirmativo, que es libre y voluntario, lo cual posibilita que la empresa destinataria tenga una base de legitimación para el tratamiento, al menos de inicio, lo que, insistimos, no admite excepción es el deber de informar al candidato sobre el tratamiento que haría de sus datos. En concreto, la información contemplada en el citado artículo 13 del RGPD es, entre otra, la identidad y los datos de contacto del responsable del tratamiento, los fines y la base jurídica del tratamiento, el plazo durante el cual se conservará la información recogida, y los derechos que asisten al interesado.

    En este caso concreto, el interesado accedió a una oferta de empleo y, siguiendo las instrucciones facilitadas por la empresa, envió su curriculum a través de Whatsapp.

    La empresa nunca respondió a dicho mensaje, y por tanto faltó a su deber de informar, lo que dio lugar a una reclamación por parte de este que finalizó en la mencionada sanción.

    En concreto en su resolución la AEPD entiende que la empresa había infringido los requisitos de información contenidos en el artículo 13 del Reglamento, «porque no identifica de manera apropiada a su responsable ni los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio», una información que la normativa exige que sea facilitada. Este incumplimiento del principio de transparencia o el derecho a la información del afectado, de acuerdo con el artículo 74.a) de la Ley Orgánica de Protección de Datos española constituye una «infracción leve».

    Cierto es que la sanción bien podía haber sido mayor, pero en este caso se tuvo en cuenta que la empresa sancionada no tenía reclamaciones anteriores, que es una pequeña empresa y que no buscó con su conducta buscar un beneficio propio, por lo que se “gradúa” la multa hasta esos 2.000€.

    Es importante resaltar que, al igual que ocurre en un número muy elevado de procedimientos que acaban en sanción, la empresa en cuestión tampoco respondió al requerimiento de información sobre el caso que le remitió la Agencia, lo que pone de relieve la vital importancia de, siempre y en todo caso, dar respuesta en tiempo y forma a cualquier requerimiento que podamos recibir.

    La Agencia Española de Protección de Datos ha sancionado a la cadena Cope por no gestionar de manera correcta, tal y como marca la LOPD y el RGPD, la instalación de cookies en los dispositivos utilizados por los visitantes de la web www.cope.es. La sanción asciende a 2000 Euros.

    Las sanciones impuestas por una incorrecta gestión del consentimiento de instalación de cookies están aumentando, por experiencia propia podemos afirmar que actualmente las webs que cumplen la normativa son una excepción.

    El uso de fórmulas de consentimiento tácito, el no permitir decidir al usuario que cookies pueden ser instaladas en su equipo, la redacción de una política de cookies incompleta e incluso la no existencia de banner de aviso de instalación de cookies es algo con lo que nos encontramos día a día.

    Por todo ello de manera gratuita realizamos un análisis del estado del consentimiento de instalación de cookies en tu web https://equalprotecciondedatos.com/cookies-gratis/