Entradas

En la entrada anterior ya hemos visto que la LOPD regula los tratamientos de ficheros de datos de personas físicas. Veremos ahora como se definen estos conceptos:

  • Dato de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
  • Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
  • Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Leer más

El art. 2 de la LOPD y el art. 2 del RD 1720/2007 acotan el espacio físico y jurídico en que opera la normativa en materia de protección de datos de carácter personal.

Sintetizando:

Leer más

Parece mentira pero muchas empresas y particulares aún desconocen esta dura normativa que busca la protección de lo que la ley considera datos de carácter personal. Pero es así, y la Administración no ha hecho el esfuerzo necesario para informar de los derechos y obligaciones que establece esta estricta regulación.

Iniciamos con esta entrada una serie de posts cortos analizando el articulado de la LOPD (PDF), de su reglamento (PDF) y de los informes jurídicos de la AGPD en los temas que tratemos.

Leer más

La Agencia Española de Protección de Datos en su cruzada para “protegernos” de las redes sociales (de su mal uso, está claro) publica un documento llamado decálogo de recomendaciones, apelando a la responsabilidad de los usuarios de Internet.

Resumiendo los puntos:

  1. No grabar ni publicar imágenes de otra gente sin su consentimiento en las redes sociales (vamos, al menos fuera del ámbito familiar y mucho cuidad con las fotos de niños).
  2. Configurar adecuadamente los niveles de privacidad; hay que controlar si nuestro perfil es visible para terceras personas y si se indexa en los buscadores. No os recomiendo dejar florituras en el muro de una veinteañera si vuestra pareja se dedica a buscar el Google vuestro nombre…
  3. Nunca dar datos personales a alguien por Internet sin haber podido verificar al 100% su verdadera identidad. Es el consejo 2.0 de “no aceptes caramelos de extraños”.
  4. Cuidado con dar información sobre la localización física de uno o de otros.
  5. Enseñar a los menores a utilizar la red y utilizarla con ellos.
  6. Si se remiten correos electrónicos a múltiples destinatarios, utilizar siempre el campo CCO (con copia oculta).
  7. Comercio y banca electrónica: no suministrar información si hay dudas de la url. Recomiendo siempre teclear las webs en estos casos, no clickar en enlaces.
  8. Leer detenidamente las Políticas de Privacidad y las Condiciones de Cancelación.
  9. No contestar al Spam (ni permitir que se mande una confirmación de lectura, añadiría).
  10. No publicar en los perfiles de las redes sociales excesiva información personal y familiar (ni datos que permitan la localización física), y no aceptar solicitudes de contacto de forma compulsiva, sino únicamente a personas conocidas o con las que haya relación previa. Me temo que al AEPD no tiene mucha idea de como funcionan redes como Facebook o Twitter; si solo se agregan personas conocidas, estas redes sociales pierden gran parte de su potencial. Yo rectificaría esta premisa y diría: agregar a los contactos con una estrategia definida y filtrar lo mejor posible.

Cuando uno lee los consejos de la AEPD se le queda una sensación de que los que las escriben no tienen demasiada idea de la web 2.0 y las redes sociales. ¿Qué edad deben tener los que escriben estas cosas?

Una de los cosas más básicas y que menos conocen las empresas es que está prohibido (y multado por la Agencia Española de Protección de Datos) remitir a otras empresas o particulares correos electrónicos, faxes o llamadas con finalidad  comercial sin el consentimiento expreso previo. La única excepción a esta necesidad de solicitar el consentimiento se da cuando la publicidad es sobre productos o servicios ya adquiridos por nuestros clientes (si bien éstos pueden ejercer su derecho de oposición a recibir estas comunicaciones).

La normativa que regula el Spam se basa en la LSSI (Ley 34/2002 en PDF), concretamente en su artículo 21, que textualmente dice:

Artículo 21. Prohibición de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.
1.- Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente
no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
2.- Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

Las fuentes accesibles al público, como serían las páginas amarillas, no nos dan derecho a usar sus datos para remitir publicidad a sus anunciantes. Solo se pueden tratar para contratar sus servicios y finalidades similares, nunca para fines comerciales.

Para entender el marco jurídico de la LSSI podemos ir directamente a un ejemplo reciente de Resolución de la AGPD sobre el tema, concretamente la R/01079/2009 (PDF). De esta resolución, que recomiendo leer a los interesados en el tema, destacaría:

La LSSI no distingue entre personas físicas o jurídicas en cuanto a Spam se refiere, en palabras de la AGPD:
Teniendo en cuenta que en el apartado d) del anexo de la LSSI se define al “Destinatario del servicio” o ”destinatario” como la “persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.”, el hecho de que el destinatario del envío que nos ocupa sea una persona física o jurídica no obsta para que se considere vulnerado por parte de ACTIU LOGÍSTICA lo previsto en el artículo 21.1 de la reseñada norma.

En cuanto a si un correo electrónico puede ser considerado un datos de persona física, es interesante lo que nos dice la Resolución, al concretar que lo será si proporciona datos de la persona física en su configuración (nombre, empresa en la que trabaja, etc):

El concepto de dato personal, según la definición de la LOPD, requiere la concurrencia de un doble elemento: por una parte, la existencia de una información o dato y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable. En el supuesto de direcciones electrónicas la información está constituida, como ya se ha señalado, por un conjunto de signos o letras que cuando permiten la vinculación directa o indirecta con una persona física la convierte, al hacerla identificable, por tanto, en un dato de carácter personal.

En el caso concreto de la Resolución, el email de la empresa que remitió la comunicación no puede considerarse identificativo de persona física y, por tanto, no opera la LOPD sino la LSSI.

Otro punto a destacar es que no se puede alegar el consentimiento tácito, ha de ser expreso. De nada valen los Spams que nos mandan y nos pone una coletilla de que si no queremos seguir recibiendo estos emails lo digamos. Eso era antes de remitir el email, amigos. ¿Denunciamos?

… En este sentido, indicar que la falta de negativa de los destinatarios al tratamiento de los datos, incluso después de haberles sido concedido un periodo de tiempo prudencial para manifestar su oposición, no puede constituir, en ningún caso, una declaración de consentimiento expreso, independientemente de los términos en los cuales se les informe en la comunicación remitida…

Un punto muy interesante y que debe quedar claro es que la posibilidad de remitir publicidad a clientes se refiere a productos o servicios similares a los ya contratados, no a otros diferentes. Este detalle hace que la empresa denunciada, pese a remitir el email a un proveedor de productos informáticos y no de mobiliario, se enfrente a una multa de, tachán… 600 €. Sanción baja por haberse considerado muchos atenuantes a la infracción (buena fe, etc).

Leo en el blog de Iurismatica que ha entrado en vigor la Ley 29/2009, sobre competencia desleal y publicidad para la mejora de de la protección de los consumidores y usuarios (PDF). En su artículo 29 regula lo que pueden ser consideradas “prácticas agresivas por acoso”:

Artículo 29. Prácticas agresivas por acoso.
1. Se considera desleal por agresivo realizar visitas en persona al domicilio del consumidor o usuario, ignorando sus peticiones para que el empresario o profesional abandone su casa o no vuelva a personarse en ella.
2. Igualmente se reputa desleal realizar propuestas no deseadas y reiteradas por teléfono, fax, correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la medida en que esté justificado legalmente para hacer cumplir una obligación contractual.
El empresario o profesional deberá utilizar en estas comunicaciones sistemas que le permitan al consumidor dejar constancia de su oposición a seguir recibiendo propuestas comerciales de dicho empresario o profesional.
Para que el consumidor o usuario pueda ejercer su derecho a manifestar su oposición a recibir propuestas comerciales no deseadas, cuando éstas se realicen por vía telefónica, las llamadas deberán realizarse desde un número de teléfono identificable.
Este supuesto se entenderá sin perjuicio de lo establecido en la normativa vigente sobre protección de datos personales, servicios de la sociedad de la información, telecomunicaciones y contratación a distancia con los consumidores o usuarios, incluida la contratación a distancia de servicios financieros.

Con ello persigue la legislación acabar con los pesados que venden a capa y espada. Os parezca adecuada a no esta regulación, es muy recomendable conocerla y cumplirla. O vuestro bolsillo se va a sentir gravemente afectado.

La Agencia Española de Protección de Datos ha emitido un informe jurídico, el 0511/2009 (PDF), sobre el nivel de seguridad aplicable a los datos que manejan los profesionales del asesoramiento fiscal y laboral.

Recomendamos su lectura a todos los profesionales de este ramo, si bien vamos a intentar resumir la información que nos parece más interesante:

Leer más

Repasemos lo que nos dice esta Guía sobre La Protección de Datos en las Relaciones Laborales sobre los diversos controles empresariales de sus trabajadores.

Lo primero es destacar que el Estatuto de los Trabajadores es la ley habilitante que permite éste control al empresario en cuanto al desarrollo de la prestación laboral. Estos controles cada vez son más sofisticados, como dice la AGPD: controles biométricos como la huella digital, la videovigilancia, los controles sobre el ordenador, -como las revisiones, el análisis o la monitorización remota, la indexación de la navegación por Internet, o la revisión y monitorización del correo electrónico y/o del uso de ordenadores-, o los controles sobre la ubicación física del trabajador mediante geolocalización.

Principios que rigen el control empresarial:

1.- No se requiere consentimiento del trabajador en cuanto deriva de la existencia de una relación laboral (por ejemplo, el empresario puede contratar un empresa acreditada por la DGP para instalar unas cámaras de vigilancia en las oficinas, sin tener que pedir el consentimiento de sus empleados, si bien debe informarles, entre otros requisitos).

2.- Principio de proporcionalidad: no tiene sentido poner un geolocalizador a una oficinista, por ejemplo.

3.- La finalidad del tratamiento debe ser «verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales».

4.- Los datos deben ser exactos, puestos al día y se debe fijar un plazo de conservación limitado.

5.- Se debe cumplir el deber de información a los trabajadores; nada de controlar el correo electrónico o lo que hace el trabajador por internet sin la preceptiva comunicación al afectado antes de iniciar dicho control.
La AGPD recomienda informar también a los representantes sindicales. Es interesante leer como dice que hay que plasmar por escrito claramente lo que puede y no puede hacer el personal con la web. ¿Se puede tener conectado Facebook, leer blogs, buscar fotos en Flickr, etc?. Más de un jefe rancio debe estar llevándose las manos a la cabeza.

Esta guía trata también temas tan interesantes como la comunicación empresar-trabajadores-sindicatos, la cesión de los TC2 de los trabajadores de subcontratas a las empresas contratistas o el deber de secreto y seguridad de los trabajadores que acceden a datos personales tratados por la empresa.

Un documento útil, si bien creo que se queda un poco en la superficie de las relaciones laborales y la complejidad de las interacciones. Pero vamos avanzando.

Una de las misiones de la Agencia Española de Protección de Datos es informar a los ciudadanos y empresas de la normativa y su aplicación en los diversos ámbitos.

Las guías informativas son una acertada forma de englobar en una sola edición las regulaciones de protección de datos que hacen referencia a una determinada realidad. En esta ocasión nos toca hablar de la Guía sobre La Protección de Datos en las Relaciones Laborales (PDF).

Nos empieza concretando en que supuestos no se aplica la LOPD:
Los datos de persona de contacto en relación a las personas jurídicas a las que representa o en las que trabaja, consistiendo únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Si en la lista se trata el dato del DNI, por ejemplo, ya debería considerarse aplicable la LOPD.

Muy importante saber que remitir un e-mail o un fax comercial, sin autorización previa y cuando no exista relación contractual, a una persona física o jurídica, en base a la LSSI, es sancionable por la AGPD. Se acabó el mailing o faxing, salvo que se quiera incurrir en un alto riesgo de ser sancionado.

Muy interesante el tema de los curriculum y la selección de personal:

Recomiendan tener modelos de curriculum para que los candidatos los rellenen, para cumplir con el deber de información del art. 5 de la LOPD.

Si el curriculum nos los remite directamente el candidato por email o correo postal deberíamos enviarle un correo electrónico o correo postal de acuse de recibo con la información de la LOPD; me parece procedimiento, digámos que engorroso, pero eso nos dice la AGPD. Y nos pueden sancionar según lo que hagamos con el curriculum.

Si se presentó en mano, deberían existir carteles informativos de la LOPD o acuses de recibo que firmen los posibles candidatos. En su defecto, yo recomiendo que el trabajador firme su consentimiento para el tratamiento de datos en el propio curriculum que nos deja y que conoce sus derechos en materia de protección de datos. Y hay que tener muy presente que no se puede ceder el curriculum de una empresa a otra, aun que estén en la misma ubicación (por ejemplo un despacho de profesionales liberales), si no está expresamente autorizado por el candidato. Mucho ojo con esta práctica habitual, que se hace para hacer un favor al que busca trabajo y puede acabar en sanción.

Se considera que el contrato de trabajo constituye un buen medio para ofrecer información sobre los tratamientos de datos. Si hay cambios en la finalidad o en el tratamiento de dichos datos, se debe informar puntualmente al trabajador.

Curiosa las exigencias en materia de curriculum, pero hay que atenerse a estas recomendaciones para evitar sanciones, sobretodo por posibles denuncias ante la AGPD de los candidatos descartados.

El Estatuto de los Trabajadores (artículo 20.3) faculta al empresario para adoptar las medidas que considere oportunas de vigilancia y control para verificar el cumplimiento de las obligaciones y deberes laborales de los trabajadores. Exige al empresario que estas medidas respeten la dignidad humana y tengan en cuenta la capacidad real de los trabajadores disminuidos.
¿Puede el empresario captar y/o tratar las imágenes de los trabajadores en su puesto de trabajo sin su consentimiento?

La respuesta es si (con las debidas restricciones que impone la legislación y especialmente la LOPD y la instrucción 1/2006).

Limites a esta potestad empresarial:

1.- El tratamiento de imágenes se limitará a las finalidades previstas en el ET.

2.- Se respetará el principio de proporcionalidad:

Se usarán cámaras cuando no exista una forma menos intrusiva de control.

Se captarán las imágenes en los espacios indispensables para satisfacer la finalidad de control empresarial.

Evidentemente, la finalidad exclusiva de la captación de imágenes es el control empresarial (nada de usarlas para otros fines).

3.- Se respetarán los derechos específicos de los trabajadores:

Derecho a la intimidad (no se pueden poner cámaras en zonas como vestuarios, baños, taquillas o zonas de descanso).

Derecho a la propia imagen.

La vida privada en el entorno laboral (en especial se prohíbe registrar conversaciones privadas).

4.- Derecho a la información:

Información específica a la representación sindical, cartel e impreso informativo e información personalizada.

5.- Inscripción del fichero en la AGPD.

6.- Cancelación de las imágenes en un plazo máximo de 30 días (excepto las que registren una infracción laboral), se garantizarán los derechos de acceso y cancelación y se adoptarán las correspondientes medidas de seguridad.

El empresario debe cumplir escrupulosamente la Ley e informarse debidamente antes de implantar cualquier tipo de control empresarial sobre sus trabajadores. O se llevará importantes sorpresas en forma de sanciones y demandas.

Este 28 de enero la Agencia Española de Protección de Datos organizó la 2ª sesión anual abierta.

El escenario fue el magnífico auditorio de la Universidad Carlos III.

Abrieron en acto Mariano Fernández Bermejo (Ministro de Justicia) y Artemi Rallo Lombarte (Director de la AGPD).

Una interesante iniciativa que se centró en la presentación de la Guía de Videovigilancia editada por la AGPD.

Dejando para futuros posts comentar otros aspectos de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y la legislación que la desarrolla, intentaremos en éste plasmar los puntos más interesantes de la protección de datos en el ámbito de la captación de imágenes con fines de vigilancia:

1.- Cuándo deben aplicarse las normas de protección de datos a los tratamientos de imágenes:

El concepto de dato personal incluye las imágenes cuando se refieran a personas identificadas o identificables (por tanto, el tratamiento de videos de fiestas de disfraces, no entraría, en principio, en el ámbito de la LOPD, por ejemplo).

Se aplicarán las normas en cuestión cuando exista grabación, captación, trasmisión, conservación o almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real.

Las imágenes captadas dentro del ámbito personal y doméstico no se regulan por la LOPD (videos caseros de la família y amigos en una reunión en casa, por ejemplo).

Mucho cuidado con los vídeos que se suben a youtube, por ejemplo; salvo que se traten de imágenes familiares, las personas que salen en ellos pueden denunciaros si no tenéis autorización expresa para ello.

2.- Obligaciones:

Inscripción de los ficheros de imágenes el la AGPD.

Deber de informar a las personas cuyas imágenes se capten (mediante un distintivo informativo a la vista) y un impreso a disposición del público.
La instalación de sistemas de videovigilancia con fines de seguridad privada debe contratarse con empresas de seguridad autorizadas por el Ministerio del Interior (ni se os ocurra poner una cámara de vigilancia en vuestra oficina o casa por vuestra cuenta).

Cancelación de oficio de las imágenes: Trascurrido un mes de la captación de las imágenes, éstas deben cancelarse (si captan un posible delito o infracción administrativa hay que notificarlo a la autoridad y conservarlas a su disposición).

Podríamos extendernos más, pero a quién quiera ampliar su información sobre el tema le invitamos a visitar los enlaces de esta entrada.